Таковы данные сервиса реагирования на киберугрозы Kaspersky Incident Response
По данным глобального отчёта «Анатомия ландшафта киберугроз» от экспертов центра сервисов по кибербезопасности «Лаборатории Касперского», в 2025 году доля атак, начинавшихся через эксплуатацию публично доступных приложений, незначительно выросла — до 44%. Использование скомпрометированных учётных записей встречалось значительно реже, но по-прежнему на втором месте — на данный способ проникновения пришлась четверть инцидентов. Для сравнения, годом ранее этот показатель составлял почти треть. Доля атак через доверительные отношения, то есть подрядчиков (Trusted Relationship), за год выросла на 3 п.п. — до 16%. Таковы данные сервиса реагирования на киберугрозы Kaspersky Incident Response.
Иногда разные векторы атак использовались как звенья одной цепи. Например, злоумышленники проникали в организацию через эксплуатацию публично доступных приложений, чтобы впоследствии использовать скомпрометированную компанию для кибератак на другие предприятия.
Длительность инцидентов. Более половины кибератак (51%) длились менее суток и чаще всего приводили к шифрованию файлов. Треть инцидентов продолжалась в среднем 108 дней, в течение которых злоумышленники не только шифровали файлы, но и наносили другой ущерб, например незаметно выгружали данные организации. Остальные 16% изначально выглядели как быстрые атаки, но между проникновением и нанесением ущерба наблюдалась значительная задержка, что увеличивало их общую продолжительность почти до 19 дней.
«Последние годы список основных векторов кибератак практически не менялся. Самым частым способом была и остаётся эксплуатация публично доступных приложений, наряду с этим злоумышленники активно используют скомпрометированные учётные записи. При этом некогда распространённые вредоносные электронные письма уступили место кибератакам через доверительные отношения — доля таких инцидентов с 2023 года выросла более чем в два раза, — комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты „Лаборатории Касперского“. — Примечательно, что мы наблюдаем усложнение атак через подрядчиков. В одном из случаев злоумышленники последовательно скомпрометировали более двух организаций, чтобы в итоге получить доступ к третьей цели — основной».
«Анатомия ландшафта киберугроз» — масштабный глобальный отчёт, основанный на статистике инцидентов сервисов кибербезопасности Kaspersky Managed Detection and Response, Kaspersky Incident Response, Kaspersky Compromise Assessment и Kaspersky SOC Consulting. В нём описаны наиболее распространённые тактики, техники и инструменты атакующих, а также характеристики обнаруженных инцидентов и их распределение по регионам и отраслям. Исследование помогает разобраться, какие меры защиты наиболее эффективны для организаций.
Для выстраивания надёжной защиты «Лаборатория Касперского» рекомендует организациям:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- применять многофакторную аутентификацию;
- включать в контракты требования к соблюдению правил информационной безопасности: проводить регулярные аудиты, следить за соблюдением подрядчиками установленных в организации правил ИБ и протоколов оповещения о киберинцидентах;
- использовать решения для управляемой защиты, такие как Kaspersky Managed Detection and Response и Kaspersky Incident Response, которые позволяют получить доступ к экспертным знаниям и глобальным данным об угрозах. Они обеспечивают круглосуточный мониторинг и охватывают весь цикл работы с инцидентами — от обнаружения до устранения, что помогает противостоять сложным кибератакам;
- воспользоваться услугами надёжных ИБ-вендоров по SOC-консалтингу, например обратиться к специалистам Kaspersky SOC Consulting для первоначальной настройки или усовершенствования существующих систем безопасности;
- применять решение для комплексной защиты всей ИТ-инфраструктуры, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности.
